Palo Alto Networks Merilis Patch Keamanan Mendesak untuk Kerentanan Kritis di PAN-OS dan Prisma Gateways
TL;DR
Palo Alto Networks Merilis Patch Keamanan Mendesak untuk Kerentanan Kritis di PAN-OS dan Prisma Gateways
Jika Anda menggunakan perangkat Palo Alto Networks, hentikan aktivitas Anda dan segera periksa log Anda. Perusahaan telah mengonfirmasi bahwa celah bypass autentikasi yang berbahaya—yang dilacak sebagai CVE-2026-0257—saat ini sedang dieksploitasi secara aktif. Ini bukan skenario teoretis "bagaimana jika"; penyerang secara aktif menggunakannya untuk melewati gerbang keamanan dan membuat koneksi VPN ilegal ke jaringan perusahaan.
Kerentanan ini menyerang konfigurasi portal dan gateway GlobalProtect di dalam PAN-OS dan Prisma Access. Dengan melewati lapisan autentikasi utama, penyerang jarak jauh dapat masuk ke jaringan Anda seolah-olah mereka adalah pengguna yang sah dan resmi. Ini adalah skenario terburuk bagi siapa pun yang mengandalkan platform ini untuk akses jarak jauh.
Tingkat keparahan situasi ini sangat tinggi. Meskipun perkiraan awal menetapkan skor CVSS di angka 7,8, analisis lebih mendalam telah mendorong angka tersebut ke level kritis 9,1 di banyak lingkungan. Cyber Security Agency of Singapore (CSA) dan pengawas global lainnya telah membunyikan alarm, dan dengan Palo Alto yang mengonfirmasi eksploitasi aktif per 29 Mei 2026, waktu untuk melakukan patching telah habis.
Mekanisme Peretasan
Bagaimana hal ini sebenarnya terjadi? Ini bukan sekadar menekan tombol. Menurut analisis teknis dari RedLegg, eksploitasi ini memerlukan "badai sempurna" dari pengaturan konfigurasi.
Agar suatu lingkungan menjadi rentan, tiga hal berikut umumnya harus terpenuhi:
- Portal atau gateway GlobalProtect harus diaktifkan.
- Cookie "Authentication Override" harus aktif.
- Sistem harus menggunakan konfigurasi sertifikat tertentu yang rentan.
Ketika kondisi ini terpenuhi, penyerang dapat memanipulasi jabat tangan (handshake) autentikasi. Karena mereka secara efektif membajak kepercayaan yang dibangun oleh cookie override tersebut, sistem membiarkan mereka masuk. Mereka tidak memerlukan kata sandi Anda. Mereka tidak memerlukan token MFA Anda. Mereka hanya perlu mengeksploitasi bypass tersebut.
Siapa yang Berisiko?
Cakupannya spesifik, jadi jangan panik jika Anda tidak menjalankan versi yang terpengaruh—tetapi pastikan untuk memverifikasinya. Instansi Panorama dan Cloud NGFW saat ini aman. Namun, jika Anda menjalankan versi yang tercantum di bawah ini, Anda harus segera mengambil tindakan.
| Produk | Versi yang Terpengaruh |
|---|---|
| PAN-OS | 10.2, 11.1, 11.2, 12.1 |
| Prisma Access | 10.2, 11.2 |
National Vulnerability Database (NVD) telah secara resmi mengkatalogkan masalah ini. Lebih penting lagi, ini telah ditambahkan ke katalog Known Exploited Vulnerabilities (KEV). Itu adalah istilah industri untuk "pemindai otomatis sudah mencari celah ini." Jika Anda belum melakukan patching, kemungkinan besar Anda sudah menjadi target.
Cara Mengamankan Infrastruktur Anda
Palo Alto Networks telah merilis patch. Jika Anda dapat melakukan pembaruan, lakukan sekarang. Jangan menunggu akhir pekan. Jika Anda terjebak dalam situasi di mana Anda tidak dapat melakukan reboot atau patching segera, Anda perlu menerapkan langkah-langkah "sementara" untuk menutup celah tersebut.
- Matikan Override: Jika model bisnis Anda mengizinkan, nonaktifkan "Authentication Override" di pengaturan GlobalProtect Anda. Ini adalah cara paling efektif untuk memutus vektor utama penyerang.
- Audit Sertifikat Anda: Periksa konfigurasi sertifikat Anda dan bandingkan dengan saran yang dirilis oleh Palo Alto. Jika Anda menggunakan pengaturan yang rentan, ubahlah.
- Pantau Log: Tingkatkan verbositas pada log VPN Anda. Anda harus mencari pola autentikasi yang aneh, login dari tempat yang tidak biasa bagi karyawan Anda, atau koneksi yang terasa mencurigakan.
- Lapis Pertahanan Anda: Karena ini melewati autentikasi utama, perimeter Anda secara efektif terbuka lebar. Jika Anda memiliki MFA yang terikat pada override berbasis cookie, itu mungkin tidak berguna di sini. Cari cara untuk menerapkan verifikasi sekunder yang tidak berbasis cookie.
Realitas dari kerentanan ini adalah bahwa pertahanan perimeter standar kemungkinan besar akan melewatkan intrusi karena, bagi sistem, penyerang terlihat seperti pengguna yang sah. Anda tidak sedang mencari serangan brute-force; Anda sedang mencari "hantu di dalam mesin".
Tetap pantau portal keamanan resmi Palo Alto Networks. Situasi ini dinamis, dan seiring dengan semakin banyaknya peneliti yang menggali eksploitasi ini, kita mungkin akan belajar lebih banyak tentang cara mendeteksi dan memitigasi dampaknya. Untuk saat ini, anggaplah ancaman itu nyata, anggaplah lingkungan Anda sedang dipindai, dan prioritaskan remediasi Anda. Waktu untuk berhati-hati telah berlalu; saatnya untuk bertindak sekarang.
